2018年活跃DDoS攻击团伙分析报告-国家互联网应急中心.PDF

2018 年活跃DDoS 攻击团伙分析报告 国家计算机网络应急技术处理协调中心 2019 年1 月 目 录 一、 报告摘要2 二、 总体概况4 2.1 攻击资源概况4 2.2 活跃团伙概况7 三、 重点僵尸网络家族攻击特点9 3.1 XorDDoS 僵尸网络家族 9 3.2 Gafgyt 僵尸网络家族 13 3.3 BillGates 僵尸网络家族 17 四、 重点攻击团伙分析21 4.1 团伙G1：CC 数量及肉鸡规模最大的攻击团伙 21 4.1.1 团伙G1 总览21 4.1.2重要子团伙分析25 4.2 团伙G13：肉鸡规模第二大的攻击团伙31 4.3 团伙G9：肉鸡规模排名第三的团伙35 4.4 团伙G16：利用Gafgyt 僵尸网络家族的月度最大团伙.38 1 一、 报告摘要 CNCERT 针对多种主要用于发起DDoS 攻击的僵尸网络家族进行抽 样监测，并对 2018 年全年涉及的攻击资源和攻击团伙进行了多维分 析，发现CC 控制端 IP 共2108 个，总肉鸡 IP 数量为140 万余台， 受攻击目标IP 数目9 万余台，共发现攻击团伙50 个，其中涉及活跃 攻击团伙16 个，共包含358 个CC 控制端IP，总共攻击约3 万个目 标 IP，在全年攻击目标中占比31%。总体来看，利用这些僵尸网络家 族进行DDoS 攻击的特点主要有： 1. 从攻击目标规模和攻击事件数目来看，8 月份均为全年的 最高峰。从控制的肉鸡规模来看，11 月份是全年的最高峰。 2. XorDDoS、Gafgyt、BillGates 这三种僵尸网络家族参与攻 击事件最多。其中，XorDDoS 僵尸网络家族所控制的肉鸡规模最大， 且持续时间最长；Gafgyt 僵尸网络家族总活跃CC 控制端IP 数量最 多，为1096 个，而大部分CC 控制端只存活一个月，但由于其样本 的主动感染特性，往往在出现数天后就能获得非常大的肉鸡规模。从 攻击时间来看，XorDDoS 和BillGates 僵尸网络家族在凌晨 2-10 时 发起的攻击数量明显减少，疑似是需要由人工触发的攻击方式； Gafgyt 僵尸网络的攻击按时间分布较均匀，疑似是作为 DDoSaaS （DDoS as a service ）对外提供服务。 2 3. 活跃攻击团伙中，规模最大的攻击团伙使用的僵尸网络由 多个家族组成，而其他的团伙的家族特性相对比较单一。所有团伙的 攻击目标数量占据全年总攻击目标数量的36%，而规模最大的团伙的 攻击目标数量占据了全年总攻击目标数的23%。攻击团伙攻击的目标 主要位于云主机厂商网段，行业主要覆盖游戏、博彩、色情等。单一 团伙的长期攻击目标并无行业特性，仅在短期内受攻击任务影响会有 短暂的行业特性。 在本报告中，一次DDoS 攻击事件是指在经验攻击周期内，不同 的攻击资源针对固定目标的单个DDoS 攻击，攻击周期时长不超过24 小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为 24 小时或更多，则该事件被认为是两次攻击。此外，DDoS 攻击资源及 攻击目标地址均指其IP地址，它们的地理位臵由它的 IP地址定位得 到。DDoS 攻击团伙是指能利用一定规模的互联网攻击资源，在较长 时间范围内活跃，同时期内利用攻击资源针对极相似的攻击目标集合 进行攻击，其攻击资源在一定时间范围内固定，长时间会发生变化。 同一攻击团伙所发起的系列DDoS 攻击称为团伙性攻击。 3 二、 总体概况 2.1 攻击资源概况 从全年来看，利用僵尸网络发起DDoS 攻击的事件数量，在年初 呈现上涨趋势，在8 月份开始下滑，如图2.1 所示。CC 控制端数量 的月度统计趋势和DDoS 攻击事件数量的月度统计趋势基本一致，同 样是在8 月份达到最大值后逐步回落，如图2.2 所示。僵尸网络肉鸡 数量发展趋势前期与CC 控制端类似，在年初呈现上涨趋势